论文部分内容阅读
当一个机构将其内部网络与Internet连接之后,其内部数据和网络设施将不可避免地暴露在Internet上的黑客面前,网络安全成为企业最关心的一个问题。为了提供所需级别的保护,企业需要有安全策略来防止非法用户访问内部网络上的资源和非法向外传递内部信息。即使企业没有连接到Internet上,它也需要建立内部的安全策略来管理用户对部分网络的访问并对敏感或秘密数据提供保护。
Internet防火墙
Internet防火墙负责管理Internet和机构内部网络之间的访问。在没有防火墙时,内部网络上的每个节点都暴露给Internet上的其它主机,极易受到攻击。这就意味着内部网络的安全性要由每一个主机的坚固程度来决定,并且安全性等同于其中最弱的系统。防火墙的好处包括:
* 集中的网络安全
* 可作为中心“扼制点”
* 产生安全报警
* 监视并记录Internet的使用
* NAT的理想位置
* WWW和FTP服务器的理想位置
Internet防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户,如黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络,并抗击来自各种路线的攻击。Internet防火墙能够简化安全管理,网络安全性是在防火墙系统上得到加固,而不是分布在内部网络的所有主机上。
在防火墙上可以很方便的监视网络的安全性,并产生报警。应该注意的是:对一个内部网络已经连接到Internet上的机构来说,重要的问题并不是网络是否会受到攻击,而是何时会受到攻击。网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录,防火墙就形同虚设。在这种情况下,网络管理员永远不会知道防火墙是否受到攻击。
过去的几年里,Internet经历了地址空间的危机,使得IP地址越来越少。这意味着想进入Internet的机构可能申请不到足够的IP地址来满足其内部网络上用户的需要。Internet防火墙可以作为部署NAT(Network Address Translator,网络地址变换)的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题,并消除机构在变换ISP时带来的重新编址的麻烦。
Internet防火墙是审计和记录Internet使用量的一个最佳地方。网络管理员可以在此向管理部门提供Internet连接的费用情况,查出潜在的带宽瓶颈的位置,并能够根据机构的核算模式提供部门级的记费。
Internet防火墙也可以成为向客户发布信息的地点。Internet防火墙作为部署WWW服务器和FTP服务器的地点非常理想。还可以对防火墙进行配置,允许Internet访问上述服务,而禁止外部对受保护的内部网络上其它系统的访问。
也许会有人说,部署防火墙会产生单一失效点。但应该强调的是,即使到Internet的连接失效,内部网络仍旧可以工作,只是不能访问Internet而已。如果存在多个访问点,每个点都可能受到攻击,网络管理员必须在每个点设置防火墙并经常监视。 VPN网关
VPN网关是一个IP加密设备,用于对IP数据包加密,利用VPN网关可以在互联网上组建虚拟私有网络(VPN),安全而可靠的实现全球范围内的企业网络互连。VPN网关也可以用在企业局域网络内部,保护关键信息数据库服务器,避免信息在内部网络传输时泄漏给无关的内部人员,同时防止内部人员的主动破坏和非法存取。
从网络拓扑角度看,它适用于下列三种典型情况
远程用户通过互联网访问内部网
安装了VPN的机器,在任何地方接入互联网,它就可以保密安全地访问公司的内部网络,安全程度不亚于在公司内部接入的方式。这给奔走于全球各地的公司移动员工(经理、董事长)提供了特别方便、安全、经济地与公司通信的解决方案。
通过互联网连接公司内部的网络
如果有分布于各地的不同分支机构,每个机构都有自己的局域网,只要各分支机构接入互联网的计算机安装了VPN客户端具有了VPN能力,则每个机构就可以通过VPN在互联网上通信。这种通过VPN组建企业内部网的方案,不仅成本远远低于采用专线组网的方式,而且,保密安全性也大大提高。
内部网上的安全小组
利用VPN还可以使物理连接在同一网络上的不同小组内部进行安全保密的通信。例如公司财务部门的数据需要特别保密,就可以通过安装VPN,在内部网上构建虚拟专网来实现。没有VPN能力的计算机即使连到网络上,也无法监听网络的数据传输。
安全弱点的探测系统
收集到目标机构的网络信息之后,黑客会探测每个主机以寻求一个安全上的弱点。有几种工具可能被黑客用来自动扫描驻留在网络上的主机。
由于已经知道的服务脆弱性较少,水平高的黑客能够写出短小的程序来试图连接到目标主机上特定的服务端口上。而程序的输出则是支持可攻击的服务的主机清单。
有几种公开的工具,如ISS(Internet Security Scanner,Internet安全扫描程序),SATAN(Security Analysis Tool for Auditing Networks,审计网络用的安全分析工具),可以对整个域或子网进行扫描并寻找安全上的漏洞。这些程序能够针对不同系统的脆弱性确定其弱点。入侵者利用扫描收集来的信息去获得对目标系统的非法访问权。
聪明的网络管理员能够在其网络内部使用这些工具来发现潜藏的安全弱点并确定那个主机需要用新的软件补丁(Patches)进行升级。 网络入侵侦测系统
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现:
* 监视、分析用户及系统活动;
* 系统构造和弱点的审计;
* 识别反映已知进攻的活动模式并向相关人士报警;
* 异常行为模式的统计分析;
* 评估重要系统和数据文件的完整性;
* 操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全。而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。
1.入侵检测系统的两种类型
入侵检测系统可分为两类:基于主机和基于网络。
基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查、非法访问的闯入等,并且提供对典型应用的监视,如Web服务器应用。基于网络的入侵检测系统则主要用于实时监控网络关键路径的信息。
两种入侵检测系统都具有自己的优点和不足,互相可作为补充。基于主机的入侵检测系统可以精确地判断入侵事件,并可对入侵事件立即进行反应。它还可针对不同操作系统的特点判断应用层的入侵事件;其缺点是会占用主机宝贵的资源。
与基于主机的入侵检测系统相比,基于网络的入侵检测系统只能监视经过本网段的活动,并且精确度较差,在交换网络环境难于配置,防入侵欺骗的能力也比较差。但是它也可以提供实时网络监视,并且监视粒度更细致。
基于主机及网络的入侵监控系统通常配置为分布式模式。在需要监视的服务器上安装监视模块(Agent),分别向管理服务器报告及上传证据,提供跨平台的入侵监视解决方案;同时在需要监视的网络路径上,放置监视模块(Sensor),分别向管理服务器报告并上传证据,提供跨网络的入侵监视解决方案。
如果要使网络得到高水平的安全保护,就应该选择更加主动和智能的网络安全技术。完备的网络安全系统应该能够监视网络和识别攻击信号,能够做到及时反应和保护,能够在受到攻击的任何阶段帮助网络管理人员从容应付。
2.入侵检测系统的选择
如何选择入侵检测系统呢?选择入侵检测系统需要考虑多方面因素。但主要应考虑以下两点:
首先,考查系统协议分析及检测能力,以及解码速率;其次,要注意入侵检测系统自身的安全性、精确度及完整度。系统的防欺骗能力和模式的更新速度也是必须考虑的因素之一。
Internet防火墙
Internet防火墙负责管理Internet和机构内部网络之间的访问。在没有防火墙时,内部网络上的每个节点都暴露给Internet上的其它主机,极易受到攻击。这就意味着内部网络的安全性要由每一个主机的坚固程度来决定,并且安全性等同于其中最弱的系统。防火墙的好处包括:
* 集中的网络安全
* 可作为中心“扼制点”
* 产生安全报警
* 监视并记录Internet的使用
* NAT的理想位置
* WWW和FTP服务器的理想位置
Internet防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户,如黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络,并抗击来自各种路线的攻击。Internet防火墙能够简化安全管理,网络安全性是在防火墙系统上得到加固,而不是分布在内部网络的所有主机上。
在防火墙上可以很方便的监视网络的安全性,并产生报警。应该注意的是:对一个内部网络已经连接到Internet上的机构来说,重要的问题并不是网络是否会受到攻击,而是何时会受到攻击。网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录,防火墙就形同虚设。在这种情况下,网络管理员永远不会知道防火墙是否受到攻击。
过去的几年里,Internet经历了地址空间的危机,使得IP地址越来越少。这意味着想进入Internet的机构可能申请不到足够的IP地址来满足其内部网络上用户的需要。Internet防火墙可以作为部署NAT(Network Address Translator,网络地址变换)的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题,并消除机构在变换ISP时带来的重新编址的麻烦。
Internet防火墙是审计和记录Internet使用量的一个最佳地方。网络管理员可以在此向管理部门提供Internet连接的费用情况,查出潜在的带宽瓶颈的位置,并能够根据机构的核算模式提供部门级的记费。
Internet防火墙也可以成为向客户发布信息的地点。Internet防火墙作为部署WWW服务器和FTP服务器的地点非常理想。还可以对防火墙进行配置,允许Internet访问上述服务,而禁止外部对受保护的内部网络上其它系统的访问。
也许会有人说,部署防火墙会产生单一失效点。但应该强调的是,即使到Internet的连接失效,内部网络仍旧可以工作,只是不能访问Internet而已。如果存在多个访问点,每个点都可能受到攻击,网络管理员必须在每个点设置防火墙并经常监视。 VPN网关
VPN网关是一个IP加密设备,用于对IP数据包加密,利用VPN网关可以在互联网上组建虚拟私有网络(VPN),安全而可靠的实现全球范围内的企业网络互连。VPN网关也可以用在企业局域网络内部,保护关键信息数据库服务器,避免信息在内部网络传输时泄漏给无关的内部人员,同时防止内部人员的主动破坏和非法存取。
从网络拓扑角度看,它适用于下列三种典型情况
远程用户通过互联网访问内部网
安装了VPN的机器,在任何地方接入互联网,它就可以保密安全地访问公司的内部网络,安全程度不亚于在公司内部接入的方式。这给奔走于全球各地的公司移动员工(经理、董事长)提供了特别方便、安全、经济地与公司通信的解决方案。
通过互联网连接公司内部的网络
如果有分布于各地的不同分支机构,每个机构都有自己的局域网,只要各分支机构接入互联网的计算机安装了VPN客户端具有了VPN能力,则每个机构就可以通过VPN在互联网上通信。这种通过VPN组建企业内部网的方案,不仅成本远远低于采用专线组网的方式,而且,保密安全性也大大提高。
内部网上的安全小组
利用VPN还可以使物理连接在同一网络上的不同小组内部进行安全保密的通信。例如公司财务部门的数据需要特别保密,就可以通过安装VPN,在内部网上构建虚拟专网来实现。没有VPN能力的计算机即使连到网络上,也无法监听网络的数据传输。
安全弱点的探测系统
收集到目标机构的网络信息之后,黑客会探测每个主机以寻求一个安全上的弱点。有几种工具可能被黑客用来自动扫描驻留在网络上的主机。
由于已经知道的服务脆弱性较少,水平高的黑客能够写出短小的程序来试图连接到目标主机上特定的服务端口上。而程序的输出则是支持可攻击的服务的主机清单。
有几种公开的工具,如ISS(Internet Security Scanner,Internet安全扫描程序),SATAN(Security Analysis Tool for Auditing Networks,审计网络用的安全分析工具),可以对整个域或子网进行扫描并寻找安全上的漏洞。这些程序能够针对不同系统的脆弱性确定其弱点。入侵者利用扫描收集来的信息去获得对目标系统的非法访问权。
聪明的网络管理员能够在其网络内部使用这些工具来发现潜藏的安全弱点并确定那个主机需要用新的软件补丁(Patches)进行升级。 网络入侵侦测系统
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现:
* 监视、分析用户及系统活动;
* 系统构造和弱点的审计;
* 识别反映已知进攻的活动模式并向相关人士报警;
* 异常行为模式的统计分析;
* 评估重要系统和数据文件的完整性;
* 操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全。而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。
1.入侵检测系统的两种类型
入侵检测系统可分为两类:基于主机和基于网络。
基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查、非法访问的闯入等,并且提供对典型应用的监视,如Web服务器应用。基于网络的入侵检测系统则主要用于实时监控网络关键路径的信息。
两种入侵检测系统都具有自己的优点和不足,互相可作为补充。基于主机的入侵检测系统可以精确地判断入侵事件,并可对入侵事件立即进行反应。它还可针对不同操作系统的特点判断应用层的入侵事件;其缺点是会占用主机宝贵的资源。
与基于主机的入侵检测系统相比,基于网络的入侵检测系统只能监视经过本网段的活动,并且精确度较差,在交换网络环境难于配置,防入侵欺骗的能力也比较差。但是它也可以提供实时网络监视,并且监视粒度更细致。
基于主机及网络的入侵监控系统通常配置为分布式模式。在需要监视的服务器上安装监视模块(Agent),分别向管理服务器报告及上传证据,提供跨平台的入侵监视解决方案;同时在需要监视的网络路径上,放置监视模块(Sensor),分别向管理服务器报告并上传证据,提供跨网络的入侵监视解决方案。
如果要使网络得到高水平的安全保护,就应该选择更加主动和智能的网络安全技术。完备的网络安全系统应该能够监视网络和识别攻击信号,能够做到及时反应和保护,能够在受到攻击的任何阶段帮助网络管理人员从容应付。
2.入侵检测系统的选择
如何选择入侵检测系统呢?选择入侵检测系统需要考虑多方面因素。但主要应考虑以下两点:
首先,考查系统协议分析及检测能力,以及解码速率;其次,要注意入侵检测系统自身的安全性、精确度及完整度。系统的防欺骗能力和模式的更新速度也是必须考虑的因素之一。